网络攻击溯源取证

图书信息

作者：刘宝旭等著著

出版社：科学出版社

定价：180.00

ISBN：9787030806246

出版时间：2025-12-01

分类：图书,行业职业,计算机,网络技术

商品介绍

目录

“网络空间主动防御技术丛书”序——构筑数字时代的主动防御长城

序一

序二

序三

前言

第1章 网络空间安全背景 1

1.1 网络空间内涵与外延 1

1.1.1 网络空间发展 1

1.1.2 网络空间威胁 2

1.1.3 网络空间安全 2

1.2 网络空间安全形势 3

1.2.1 网络空间面临的安全威胁 3

1.2.2 网络攻击发展趋势 4

1.2.3 人工智能及网络安全 5

1.3 网络空间面临的安全风险 7

1.3.1 网络攻击及缺陷利用 7

1.3.2 高级安全威胁与对抗 10

1.3.3 隐私信息利用 12

1.3.4 新形势下的安全威胁 13

1.4 溯源取证的紧迫需求与对策 15

参考文献 16

第2章 网络攻击溯源取证概述 17

2.1 溯源取证目标及挑战 17

2.2 溯源取证架构及流程 19

2.2.1 溯源取证架构 19

2.2.2 溯源取证流程 19

2.2.3 溯源取证综合分析 20

2.3 溯源取证常用数据 21

2.3.1 网络数据流 21

2.3.2 日志信息 23

2.3.3 恶意代码 24

2.3.4 主动生成的溯源数据 25

2.4 溯源层次划分与典型场景 25

2.4.1 溯源层次划分 26

2.4.2 典型溯源场景 31

2.5 数字取证概念与方法 33

2.5.1 数字取证概念 33

2.5.2 数字证据的特点 34

2.5.3 对数字证据的要求 35

2.5.4 数字取证原理与主要方法 37

2.6 数字证据获取 40

2.6.1 数字证据来源 41

2.6.2 数字证据存在形式 41

2.6.3 数字证据的获取步骤 42

2.6.4 数字证据的获取方法 43

参考文献 46

第3章 攻击机及控制机的溯源 48

3.1 攻击机及控制机溯源技术评估标准 48

3.2 典型的攻击机及控制机溯源技术 49

3.2.1 被动式溯源技术 49

3.2.2 主动式溯源技术 51

3.2.3 新型网络环境中的溯源技术 56

3.3 攻击机及控制机溯源工具和典型案例 57

3.3.1 常用溯源工具介绍 57

3.3.2 攻击过程还原并确认攻击源案例 59

3.3.3 反弹式木马发现案例 63

3.3.4 DDoS攻击应急响应案例 64

3.3.5 溯源DDoS攻击的C&C 地址案例 65

3.3.6 定向攻击木马的C&C 地址分析案例 66

参考文献 66

第4章 攻击者及攻击组织的溯源 67

4.1 攻击者及攻击组织溯源技术 68

4.1.1 文档分析 68

4.1.2 通信记录分析 69

4.1.3 攻击工具及同源性分析 70

4.1.4 攻击时间戳分析 78

4.1.5 社会工程查询与互联网检索 79

4.1.6 攻击技战术分析 80

4.1.7 其他分析方法 81

4.2 攻击者及攻击组织溯源常用工具 82

4.2.1 恶意代码分析工具 82

4.2.2 情报查询与检索工具 84

4.3 攻击者溯源的典型案例 85

4.3.1 XCodeGhost恶意代码植入事件溯源 85

4.3.2 从攻击流量溯源DDoS 攻击者 86

4.4 攻击组织溯源的典型案例 89

4.4.1 攻击组织溯源技术与流程 90

4.4.2 攻击武器分析 93

4.4.3 攻击行为模式分析 95

4.4.4 攻击组织刻画与溯源结果 96

参考文献 98

第5章 网络攻击溯源新技术 99

5.1 基于威胁情报的攻击溯源 99

5.1.1 威胁情报概念及研究现状 100

5.1.2 威胁情报表现形式 102

5.1.3 威胁情报核心规范 103

5.1.4 威胁情报抽取与建模 105

5.1.5 威胁情报质量评估 106

5.1.6 威胁情报在溯源中的作用 107

5.2 基于欺骗诱捕的攻击溯源 108

5.2.1 蜜罐概念及发展历程 110

5.2.2 蜜罐的分类 110

5.2.3 蜜罐体系构建 113

5.2.4 基于蜜罐的攻击捕获与溯源应用 114

5.2.5 基于浏览器指纹的欺骗溯源 115

5.3 基于网络测绘的攻击溯源 117

5.3.1 网络测绘概念与发展 118

5.3.2 网络扫描与探测工具 119

5.3.3 网络探测的隐蔽化处理 121

参考文献 122

第6章 终端数字取证 123

6.1 终端数字取证概述 123

6.1.1 终端数字取证模型 125

6.1.2 终端数字取证研究进展 125

6.2 PC终端数字取证技术 126

6.2.1 PC终端数字取证方法 126

6.2.2 PC终端数字取证流程 131

6.2.3 PC终端数字取证工具 133

6.3 移动终端数字取证技术 136

6.3.1 移动终端数字取证方法 139

6.3.2 移动终端数字取证工具 142

参考文献 143

第7章 网络数字取证 144

7.1 网络数字取证概述 144

7.1.1 研究意义 144

7.1.2 国内外发展现状 145

7.2 互联网数字取证 146

7.2.1 互联网数字取证方法 146

7.2.2 互联网数字取证流程 155

7.2.3 互联网数字取证工具 156

7.3 专网数字取证 158

7.3.1 专网数字取证特点 158

7.3.2 专网数字取证方法 159

7.4 移动网络数字取证 160

7.4.1 移动网络数字取证方法 161

7.4.2 移动网络数字取证流程 162

参考文献 164

第8章 数字取证分析 165

8.1 数字证据处理 165

8.1.1 数据恢复 165

8.1.2 全文索引和检索 169

8.1.3 文件格式的识别 170

8.1.4 密码破解 171

8.1.5 操作痕迹分析 172

8.1.6 其他数字取证处理技术 173

8.2 数字证据保全 173

8.2.1 数字证据保全概述 174

8.2.2 数字证据保全技术 175

8.2.3 数字证据保全工具及应用 180

8.3 数字证据可视化 182

8.3.1 可视化证据源 182

8.3.2 数字证据可视化工具 182

参考文献 185

第9章 网络攻击溯源取证实践 187

9.1 溯源场景与代表性模型 187

9.1.1 杀伤链模型 187

9.1.2 钻石模型 190

9.1.3 ATT&CK 模型 193

9.2 数字证据关联与证据链构建技术 194

9.2.1 证据关联技术 194

9.2.2 证据链构建方法 199

9.2.3 证据链的推理技术 199

9.3 多源证据取证分析实践框架 200

9.4 经典溯源取证案例分析 204

9.4.1 “丰收行动”溯源取证 204

9.4.2 “毒云藤”组织溯源取证 211

参考文献 218

内容简介

网络攻击溯源取证是网络空间攻防对抗的关键环节之一。其目标是定位网络攻击的源头并获取相关证据，构建网络攻击链和证据链，及时制定、实施针对性的防御抑制策略，提高网络主动防御的及时性与有效性，最小化网络攻击造成的影响。近年来，众多重量网络攻击事件分析报告表明，溯源取证可以为司法取证与相关研判决策提供有力支撑，有效威慑网络犯罪。强大的网络攻击溯源取证能力是网络空间威慑战略的基础组成部分。本书旨在研究网络攻击溯源取证理论和方法，通过溯源取证形成有说服力的攻击事件分析案例，为高级持续性威胁事件的威胁建模与归因分析奠定基础。

本书对从事网络空间安全、网络攻击溯源取证等研究的科技人员具有参考价值，也可供高校相关专业的研究生阅读参考。